Anyyy's Blog

昨天玩了下摸鱼大闯关 一共54关 目前是40关 网站是https://p.hancel.org/ 题目质量可以 烧脑。解了一天就写个writeup吧 内容偏ctf吧，前期是前端 后面就是烧脑的图片、编码。。 writeup只提供思路 不提供url。有关的地方会打码。 卡在了40 有思路的朋友可以评论分享奥 目录>stage0stage1stage2stage3stage4stage5stage6stage7stage8stage9stage10stage11stage12stage13stage14stage15stage16stage17stage18stage19stage20stage21stage22stage23stage24stage25stage26stage27stage28stage29stage30stage31stage32stage33stage34stage35stage36stage37stage38stage39stage40 1、Stage 0:点击图片即可下一关 2、Stage 1:页面如下： 根据url: 直接修改为2即可下一关 3 ...

两款包含但不限于base系列的解密工具前言> 在之前一次ctf比赛中的一个base62，因为自己工具太少，网上资源找大半天，最后解出来的还不是flag。 所以这次吸取教训，收集了两款包含但不限于base解码的工具。因为网上使用教程太过普及或太少了，所以这里附上安装方法和使用说明。   1.basecrack 工具简介： BaseCrack能够支持目前社区使用最为频繁的Base编码机制，其中包括Base16、Base32、Base36、Base58、Base62、Base64、Base64Url、Base85、Base91、Base92等等。除此之外，该工具也可以为CTF比赛，漏洞奖励计划和数据加密解密提供有效帮助。 注意：当前版本的BaseCrack可同时支持Python2和Python3环境。 主要功能 能够对任意模式的多重Base编码数据进行解码； 能够对来自文件的多个Base编码数据进行解码； 能够利用解码后的Base数据生成字典文件并输出； 能够对目标Base数据的编码方案类型进行预测；安装方法： 可以使用下列命令将该项目源码克隆至本地： $ git clone h ...

记一次文件上传之过滤php绕过今天在群里看到群友发的一道题 想试试 解了一个多小时 过程挺有趣 就记录一下了 学到新的绕过姿势 看题； 一道文件上传+文件包含的题目 bp上传如下 经过测试文件名含有ph过滤 文件内容含有php过滤 上传后发现注释   访问后尝试进行文件包含，如下 显然 这是文件包含没错 试着读取flag 被过滤了 目前思路是通过上传jpg或者txt 然后内容写入php代码 即使文件不是以php后缀结尾，仍可以利用include特性执行代码 因此，我们需要绕过对内容的过滤 在此之前，我们可以用php:filter伪协议读取文件源码 base64解码后代码如下： <div class="light"><span class="glow">             <form enctype="multipart/form-data" method="post" onsubmit="return checkFile()"> ...

[安利]个人觉得几款在misc中冷门而好用的工具前言：最近做了不少的misc题，很多冷知识触及到我的知识盲区。我找了相应的工具，挺适合于解密或者出题，分享一下。 目录： SlientEye-–隐写/加密 OurSecret-–隐写/加密 Advanced Archive Password Recovery-–压缩包密码爆破 turn5-–进制转换 py3base92-–base92解密 1.SlientEye 下载地址：http://www.anyiblog.top/Download/2021.6.1/SlientEye.exe SlientEye常用于在各种图片中隐藏着各种信息，可加密可解密，作为miscer亦或是writer这是一个重要但冷门的工具，在misc中挺少见。 优点： 支持BMP、JPG、JPEG、JPG、PNG等目前主流的图片格式 支持一键解码 支持一键编码 可查看图片的一切基本信息，包括尺寸、质量、格式和容量等 可自定义图片路径 用法： 首先选择你要显示给别人看的图片，File->Open打开 打开之 ...